مشاهده نسخه کامل
: Jalal
06-06-2007, 09:15
Michal Zalewski پژوهشگر امنیتی نامی در کشف آسیب پذیری های مرورگر ها بار دیگر موفق شده است آسیب پذیری های اصلاح نشده در مرورگر های اینترنت اکسپلورر و فایرفاکس را کشف نماید.
وی در گزارش امنیتی مربوط به اینترنت اکسپلورر آنرا یک اشکال مضحک معرفی کرده است که نگارش های 6 و 7 از این ابزار را مورد هدف قرار داده است. این آسیب پذیری از نقص موجود در پلتفرم Document Object Model بهره میبرد. این پلفترم در نمایش فرمت های HTML ، XHTML و دیگر فرمت های مشابه نقش نمایش دهنده را ایفا میکند.
گفتنی است که آسیب پذیری دیگری در اینترنت اکسپلورر نسخه 6 گزارش شده است که خوشبختانه کاربران نسخه 7 را تهدید نخواهد کرد. به گفته Zalewski این آسیب پذیری میتواند بدون اجازه کاربر فایل های مخرب را بارگیری نماید و یا اجرا کند. این حمله از روش "حقه" یا Spoofing استفاده میکند و قادر است کاربر را به سایت های مخرب هدایت کند در حالی که با ظاهر سازی های جعلی درون میله آدرس، اطلاعات صفحه و حتی گواهی نامه های SSL سعی در عادی نشان دادن سایت مخرب دارد.
سخنگوی مایکروسافت اعلام کرده است که هر دو آسیب پذیری گزارش شده Zalewski را در دست بررسی دارد و هنوز گزارش مبنی بر سوء استفاده از آسیب پذیری ها انجام نشده است.
آسیب پذیری کشف شده درون مرورگر فایرفاکس نیز از نقص امنیتی مبتنی بر JavaScript آسیب میبیند. این اشکال امنیتی به فرد مهاجم اجازه میدهد تا کدهای مخرب و حمل کننده های جاسوسی را در صفحات مبتنی بر قابلیت IFrame تزریق نماید.
موزیلا بلافاصله اظهار کرده است که پیش از این مشکل امنیتی کاملا مشابهی با شماره Bug 381300 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) به بخش Bugzilla گزارش شده بوده است و همچنان در دست بررسی میباشد. اما Zalewski معتقد است که روش بهره برداری وی از این نقص امنیتی کاملا متفاوت از آسیب پذیری قبلی می باشد. وی نمونه نمایشی از چگونگی کارکرد این اشکال را منتشر کرده است. Zalewski اعتقاد دارد که از این آسیب پذیری میتوان در سرقت کوکی ها، بازیابی کوکی ها، توقف مرورگر، سرقت صفحات، تزریق کد و ایجاد اشکال در حافظه استفاده نمود. وی همچنین یک دموی نمایشی از نمونه کارکرد آسیب پذیری را بر روی اینترنت قرار داده است. IFrame عاملی است در زبان HTML که میتواند یک صفحه HTML را در سند اصلی جاسازی کند و به نمایش گذارد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نمونه آسیب پذیری: MSIE bait & switch - IE7 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نمونه آسیب پذیری: MSIE webpage spoofing - IE6 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نمونه آسیب پذیری: Firefox promiscuous IFRAME ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] منبع خبر: WinBeta.Net ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) (نقل از eWeek)
وی در گزارش امنیتی مربوط به اینترنت اکسپلورر آنرا یک اشکال مضحک معرفی کرده است که نگارش های 6 و 7 از این ابزار را مورد هدف قرار داده است. این آسیب پذیری از نقص موجود در پلتفرم Document Object Model بهره میبرد. این پلفترم در نمایش فرمت های HTML ، XHTML و دیگر فرمت های مشابه نقش نمایش دهنده را ایفا میکند.
گفتنی است که آسیب پذیری دیگری در اینترنت اکسپلورر نسخه 6 گزارش شده است که خوشبختانه کاربران نسخه 7 را تهدید نخواهد کرد. به گفته Zalewski این آسیب پذیری میتواند بدون اجازه کاربر فایل های مخرب را بارگیری نماید و یا اجرا کند. این حمله از روش "حقه" یا Spoofing استفاده میکند و قادر است کاربر را به سایت های مخرب هدایت کند در حالی که با ظاهر سازی های جعلی درون میله آدرس، اطلاعات صفحه و حتی گواهی نامه های SSL سعی در عادی نشان دادن سایت مخرب دارد.
سخنگوی مایکروسافت اعلام کرده است که هر دو آسیب پذیری گزارش شده Zalewski را در دست بررسی دارد و هنوز گزارش مبنی بر سوء استفاده از آسیب پذیری ها انجام نشده است.
آسیب پذیری کشف شده درون مرورگر فایرفاکس نیز از نقص امنیتی مبتنی بر JavaScript آسیب میبیند. این اشکال امنیتی به فرد مهاجم اجازه میدهد تا کدهای مخرب و حمل کننده های جاسوسی را در صفحات مبتنی بر قابلیت IFrame تزریق نماید.
موزیلا بلافاصله اظهار کرده است که پیش از این مشکل امنیتی کاملا مشابهی با شماره Bug 381300 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) به بخش Bugzilla گزارش شده بوده است و همچنان در دست بررسی میباشد. اما Zalewski معتقد است که روش بهره برداری وی از این نقص امنیتی کاملا متفاوت از آسیب پذیری قبلی می باشد. وی نمونه نمایشی از چگونگی کارکرد این اشکال را منتشر کرده است. Zalewski اعتقاد دارد که از این آسیب پذیری میتوان در سرقت کوکی ها، بازیابی کوکی ها، توقف مرورگر، سرقت صفحات، تزریق کد و ایجاد اشکال در حافظه استفاده نمود. وی همچنین یک دموی نمایشی از نمونه کارکرد آسیب پذیری را بر روی اینترنت قرار داده است. IFrame عاملی است در زبان HTML که میتواند یک صفحه HTML را در سند اصلی جاسازی کند و به نمایش گذارد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نمونه آسیب پذیری: MSIE bait & switch - IE7 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نمونه آسیب پذیری: MSIE webpage spoofing - IE6 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نمونه آسیب پذیری: Firefox promiscuous IFRAME ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] منبع خبر: WinBeta.Net ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) (نقل از eWeek)